[zeuux-universe] 安全控件技术是网银的大趋势？

[Xia Qingran]

zhangweiwu at realss.com wrote:
> 哪位对安全技术有所了解的，解释一下这个现象说明了什么？是否按此发展，广发
> 和浦发不久也将换为安全控件？去年有三个银行换为安全控件，如果保持此速度发
> 展，可以肯定明年没有网银会支持自由软件了。（因为今年只余三家：广发、浦发
> 和邮政
绝大多数人，我敢说绝对超过99%，使用Windows都是以此超级用户身份来使用的， 
而此是Windows下病毒、蠕虫、木马横行的最大原因。

在Windows Vista之前安装ActiveX必须以Administrator身份，这就等于在诱惑用 
户使用Administrator。那么这就相当于在一个毒气室中固定了一个防毒面具，并 
且有人告诉你，进毒气室并戴上放毒面具就会抵御毒气，那么你就要做4件事：0， 
屏住呼吸进入毒气室；1，正确找到哪个固定的放毒面具；2，正确的戴上；3，并 
在里面呆着。任何一环出错就挂了...同样对于这种安全控件来说，任何一环出错 
都会导致不安全。

另外，该讨论一下，假如由我们来设计这个网银的安全系统，该如何做？
我想到的一些：
0，权威CA发放的SSL证书，且是全程SSL。
1，现在大多数安全控件存在的原因都是为了防止客户端上的其他程序来窥探密码 
输入，而他们的措施往往是2点吧：
    A，通过专门的驱动程序以更底层的方式从键盘那里得到键盘的输入内容，企 
图绕过其他监听程序对输入的监控。
    B，检查系统进程中是否有他们认为的“非法进程”，如果有，那么就采取一些 
他们自认为的“理性措施”。
   
    对于这点，浦发的软键盘可能是一个解决方法。但是假如木马对浏览器进行了 
某种程度的劫持，那么此法应该也无效。

大家还有什么更好的点子？

-- 
夏清然
Xia Qingran
E-mail: qingran at zeuux.org
Gtalk: qingran.xia at gmail.com
MSN: supermanxqr at msn.com